Файлы зашифрованы и получили дополнительное расширение .ctbl
Здравствуйте!
После заражения вирусом практически все рабочие документы (.doc,docx,pdf,ppt,xls) и фотографии (семейный архив) не открываются. Они получили в дополнение к своим расширениям расширение .ctbl
* Комп зависал, не реагировал на команды, выключался мной путем удержания кнопки Power.
* После переименования (удаления этого расширения) файлы все равно не открываются.
* При открытии сайтов появились рекламные баннеры внизу страницы (обычно 3 шт.), соответствующие тематике сайтов (новости-новости, эротика-эротика, музыка-музыка)
* Системное часы стали показывать не правильные дату и время.
* Никаких писем (сообщений) об устранении проблемы за вознаграждение не приходило.
Никаких действий над компом не производил, за исключением рекомендованных Вами:
1. Выполнил обновление баз и проверку "родным" лицензионным McAfee, а также AVPTool Касперского в безопасном и обычном режимах. Были обнаружены и удалены вирусы.
2. Согласно Вашим рекомендациям ("Если у Вас 64-разрядная или серверная операционная система, выполнять п.1 данного раздела не следует. Переходите сразу к п.2.") файл virusinfo_syscure.zip был создан при выполнении п.2, то есть после создания файла virusinfo_syscheck.zip.
3. Согласно Ваших рекомендаций выкладываю несколько зашифрованных файлов на файлообменник, ссылка : http://dropmefiles.com/ZCZ0j (ссылку также прикрепляю к логам, файл называется "Link to infected files.txt".
Заранее благодарю за помощь.
С уважением,
Игорь Коваленко
Последний раз редактировалось Igor62; 15.07.2014 в 01:00.
Причина: Добавил информации
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Igor62, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\1\AppData\Local\Temp\02010e5c.exe','');
QuarantineFile('C:\Windows\system32\drivers\{b1ce3ece-1927-4e6e-b064-2f9628964a7a}Gw64.sys','');
DeleteFile('C:\Windows\system32\drivers\{b1ce3ece-1927-4e6e-b064-2f9628964a7a}Gw64.sys','32');
DeleteFile('C:\Windows\system32\Tasks\Express FilesUpdate','64');
DeleteFile('C:\Windows\system32\Tasks\PC Performer','64');
DeleteFile('C:\Users\1\AppData\Local\Temp\02010e5c.exe','32');
DeleteFile('C:\Windows\system32\Tasks\System Security','64');
DeleteFile('C:\Windows\system32\Tasks\System Components Update','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Код:
O2 - BHO: Update Timer - {3e28593c-ae34-39fa-a962-b99539cccfc4} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2 - BHO: MyCentria Internet Mate v2.3 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~2\MYCENT~1\InfoBar\MYCENT~1.DLL (file missing)
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
